Microsoft SQL Server 用の TLS 1.2 のサポート

適用対象: SQL Server 2008 DeveloperSQL Server 2008 EnterpriseSQL Server 2008 Express 詳細

はじめに


この資料では、TLS 1.2 では、Windows、2016 の SQL Server、SQL Server 2008、SQL Server 2008 R2、SQL Server 2012 では、および SQL Server の 2014 2017 を SQL Server のサポートを有効にするのにはマイクロソフトがリリースする更新プログラムに関する情報を提供します。この資料では、クライアントがサポートされているプロバイダーも表示されます。

いくつか既知の SSL およびトランスポート レイヤー セキュリティ (TLS) の以前のバージョンに対する脆弱性が報告されています。通信をセキュリティで保護された TLS 1.2 にアップグレードすることをお勧めします。

なしの重要な既知の TDS のマイクロソフトの実装の脆弱性が報告されています。これは、SQL Server のクライアントと SQL Server データベース エンジンの間で使用される通信プロトコルです。TLS 1.0 の (この記事の発行日時点で Microsoft に報告されている既知の脆弱性) に関するマイクロソフトの Schannel 実装はSchannel 実装では TLS 1.0 の Windows セキュリティのステータスの更新プログラムにまとめます。2015 年 11 月 24 日

この更新プログラムが必要かどうかを知る方法


次の表を参照して、SQL Server の現在のバージョンに既に TLS 1.2 または TLS 1.2 のサポートを有効にする更新プログラムをダウンロードする必要があるかどうかのサポートがあるかどうかを確認します。お客様の環境に適用可能なサーバーの更新プログラムを入手するのには、テーブルのダウンロード リンクを使用します。

TLS 1.2 をサポートしてもこの表に記載されているよりも後に表示されるビルドします。

SQL Server のリリース TLS 1.2 をサポートする最初のビルドとリリース TLS 1.2 のサポートで現在の更新 追加情報

SQL Server 2014 SP1 CU

12.0.4439.1

SP1 CU5

KB3130926 - SQL Server 2014 SP1 用の累積的な更新 5

注: 2014 SP1 用に生成された最後の CU をインストール、KB3130926 (CU13 - KB4019099 ) までにリリースされたすべての修正プログラムと同様に TLS 1.2 のサポートが含まれていますが。CU5 がで利用可能な場合は、必要に応じて、 Windows Update カタログ

注: TLS 1.2 のサポートも2014 SP2SP3 の 2014で使用できます。

KB3052404の修正プログラム: 2014 の SQL Server を実行しているサーバーまたは SQL Server 2012 に接続するのにはトランスポート層セキュリティ プロトコルのバージョン 1.2 を使用することはできません

SQL Server 2014 SP1 GDR

12.0.4219.0

SP1 の TLS 1.2 の GDR 更新プログラム

2014 SP1 GDR の TLS 1.2 のサポートは、最新累積的な GDR 更新プログラム: KB4019091に使用できます。

注: TLS 1.2 のサポートも2014 SP2SP3 の 2014で使用できます。

 

SQL Server 2014 RTM CU

12.0.2564.0

RTM CU12

KB3130923 - 2014 の SQL Server 用の累積的な更新 12

注: KB3130923 は、ここで、最後までにリリースされたすべての修正プログラムと同様に TLS 1.2 のサポートが含まれています 2014 RTM (CU14 - KB3158271 ) のリリース、CU でインストールされます。必要な場合は、 Windows Update カタログで CU12 があります。

注: TLS 1.2 のサポートも2014 SP2SP3 の 2014で使用できます。

KB3052404の修正プログラム: 2014 の SQL Server を実行しているサーバーまたは SQL Server 2012 に接続するのにはトランスポート層セキュリティ プロトコルのバージョン 1.2 を使用することはできません

2014 RTM GDR の SQL Server

12.0.2271.0

GDR TLS 1.2 更新プログラムを RTM します。

SQL 2014 RTM の TLS のサポートは現在利用可能な2014 SP2SP3 の 2014.をインストールすることによって

 

SQL Server 2012 SP3 GDR

11.0.6216.27

GDR TLS 1.2 の更新プログラムを SP3

2012 SP3 の GDR の TLS 1.2 のサポートは、最新累積的な GDR 更新プログラム: KB4057115に使用できます。

注: TLS 1.2 のサポートも2012 SP4で使用できます。

 

SQL Server 2012 SP3 CU

11.0.6518.0

SP1 CU3

KB3123299 - SQL Server 2012 SP3 用の累積的な更新プログラム 1

注: KB3123299 はこれで、インストールの最後2012 SP3 のリリース、CU (CU10 - KB4025925をするまでにリリースされたすべての修正プログラムと同様に TLS 1.2 のサポートが含まれています)。必要な場合は、 Windows Update カタログで CU1 があります。

注: TLS 1.2 のサポートも2012 SP4で使用できます。

KB3052404の修正プログラム: 2014 の SQL Server を実行しているサーバーまたは SQL Server 2012 に接続するのにはトランスポート層セキュリティ プロトコルのバージョン 1.2 を使用することはできません

SQL Server 2012年の SP2 GDR

11.0.5352.0

SP2 の TLS 1.2 の GDR 更新プログラム

2012 SP2 GDR の TLS 1.2 のサポートは、最新累積的な GDR 更新プログラム: KB3194719に使用できます。

TLS 1.2 のサポートも2012 SP3およびSP4 の 2012で使用できます。

 

SQL Server 2012 の SP2 CU

11.0.5644.2

SP2 CU10

KB3120313 の累積的な更新の SQL Server 2012年の SP2 では 10です。

注: KB3120313 はこれで、インストールの最後2012 SP2 のリリース、CU (CU16 - KB3205054をするまでにリリースされたすべての修正プログラムと同様に TLS 1.2 のサポートが含まれています)。必要な場合は、 Windows Update カタログで CU1 があります。

注: TLS 1.2 のサポートも2012 SP3およびSP4 の 2012で使用できます。

KB3052404の修正プログラム: 2014 の SQL Server を実行しているサーバーまたは SQL Server 2012 に接続するのにはトランスポート層セキュリティ プロトコルのバージョン 1.2 を使用することはできません

SQL Server 2008 R2 SP3 (x86 または x64 のみ)

10.50.6542.0

SP3 TLS 1.2 を更新

TLS 1.2 のサポートは、SQL Server 2008 R2 SP3 – KB4057113の最新の累積的な更新で使用できます。

 

SQL Server 2008 R2 SP2 GDR (IA 64 のみ)

10.50.4047.0

SP2 TLS 1.2 を更新

SQL Server 2008 R2 SP2 GDR (ia-64) TLS 1.2 を更新します。

 

SQL Server 2008 R2 SP2 CU (IA 64 のみ)

10.50.4344.0

SP2 TLS 1.2 を更新

SQL Server 2008 R2 SP2 GDR (ia-64) TLS 1.2 を更新します。

 

SQL Server 2008 SP4

(x86 または x64 のみ)

10.0.6547.0

SP4 TLS 1.2 を更新

TLS 1.2 のサポートは、SQL Server 2008 SP4 – KB4057114の最新の累積的な更新で使用できます。(x86 または x64 のみ)

 

SQL Server 2008 SP3 GDR (IA 64 のみ)

10.0.5545.0

SP3 TLS 1.2 を更新

SQL Server 2008 SP3 GDR (ia-64) TLS 1.2 を更新します。

 

SQL Server 2008 SP3 CU (IA 64 のみ)

10.0.5896.0

SP3 TLS 1.2 を更新

SQL Server 2008 SP3 CU (ia-64) TLS 1.2 を更新します。

 

 

クライアント コンポーネントのダウンロード

クライアント コンポーネントと、環境に適用可能なドライバーの更新プログラムをダウンロードするのにには、次の表を使用します。

クライアント コンポーネント/driver

TLS 1.2 に更新プログラムをサポートします。

SQL Server ネイティブ クライアントを SQL Server 2008 と SQL Server 2008 R2 (x86 または x64 と IA64)

Microsoft SQL Server 2008 と SQL Server 2008 R2 ネイティブ クライアント

SQL Server ネイティブ クライアント (SQL Server 2012年/2014/2016/2017)

(x86/x64)

Microsoft SQL Server 2012 のネイティブ クライアントの QFE

TLS 1.2 を使用する SQL Server に必要なその他の修正プログラム


TLS 1.2 を使用する Web サービスの作業のようにデータベース メールおよび TLS 1.2 を必要とする .NET エンドポイントを使用する特定の SSIS コンポーネントをサポートするように SQL Server の機能を有効にするのには次の .NET の修正プログラム ロールアップをインストールする必要があります。

オペレーティング システム .NET Framework のバージョン TLS 1.2 に更新プログラムをサポートします。
Windows 7 Service Pack 1、Windows 2008 R2 Service Pack 1 3.5.1 .NET Framework のバージョン 3.5.1 に含まれている TLS v1.2 のサポート
Windows 8 RTM Windows 2012 製品版 3.5 .NET Framework バージョン 3.5 に含まれている TLS v1.2 のサポート
Windows 8.1 では、Windows 2012 R2 SP1 3.5 SP1 .NET Framework Windows 8.1 および Windows Server 2012 R2 のバージョン 3.5 SP1 に含まれている TLS v1.2 のサポート

よく寄せられる質問


TLS 1.1 は 2016 の SQL Server でサポートされているでしょうか。

[はい]2016 の SQL Server と SQL Server の 2017 のバージョンの Windows では、TLS 1.2 をサポートする、TLS 1.0 で出荷されます。クライアント サーバー間の通信にのみ TLS 1.2 を使用する場合、TLS 1.0 および 1.1 を無効にする必要があります。

TDS は既知の脆弱性によって影響を受けるでしょうか。

マイクロソフトのTDSの実装の脆弱性は報告されていません。いくつかの標準実施組織では、暗号化された通信チャネルの TLS 1.2 の使用を義務付けるがため、マイクロソフトは広範囲にわたる SQL Server のインストール ベースに対して TLS 1.2 のサポートをリリースしました。

TLS 1.2 更新プログラムを顧客に配布するにはどうなりますか。

この資料では、TLS 1.2 をサポートする適切なサーバーとクライアントの更新のダウンロードのリンクを提供します。

TLS 1.2 の SQL Server 2005 をサポートするか

TLS 1.2 のサポートは、SQL Server 2008 とそれ以降のバージョンでのみ提供されています。

影響を受ける SSL や TLS を使用していないお客様は、SSL 3.0 および TLS 1.0 は、サーバー上で無効になっている場合ですか。

[はい]SQL Server の暗号化、ユーザー名とパスワードのログイン時にセキュリティで保護された通信チャネルが使用されていない場合でもします。この更新プログラムは、すべての SQL Server インスタンスをセキュリティで保護された通信を使用していないと、サーバー上で無効になっている TLS 1.2 を除く他のすべてのプロトコルがある必要があります。

どのバージョンの Windows Server では、TLS 1.2 をサポートしますか。

Windows Server 2008 R2 およびそれ以降のバージョンは、TLS 1.2 をサポートします。

SQL Server 通信の TLS 1.2 を有効にする適切なレジストリ設定とは何ですか。正しいレジストリ設定は次のとおりです。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001  

これらの設定は、サーバーとクライアント コンピューターの両方で必要があります。DisabledByDefault と有効の設定は、Windows 7 クライアントと Windows Server 2008 R2 のサーバー上に作成される必要があります。Windows 8 およびそれ以降のバージョンのクライアント オペレーティング システムまたは Windows Server 2012 のサーバーとサーバーのオペレーティング システムのそれ以降のバージョンで、TLS 1.2 が既に有効にします。OS のリリースに依存しないようにする必要のある Windows レジストリのポリシーの展開を実装する場合はポリシーに記述されているレジストリ キーを追加することを推奨します。

既知の問題


問題 1

ISQL Server Management Studio (SSMS)、レポート サーバー、およびレポート マネージャーは、2008 R2 は、2012 年 5、または 2014、SQL Server 2008 の修正を適用した後、データベース エンジンに接続しません。レポート サーバーとレポート マネージャーは、失敗し、次のエラー メッセージを返します。

レポート サーバーは、レポート サーバー データベースへの接続を開くことができません。データベースへの接続は、すべての要求および処理に必要です。(rsReportServerDatabaseUnavailable)

SSMS、レポート マネージャー、および Reporting Services 構成マネージャーを使用して、ADO.NET では、TLS 1.2 の ADO.NET サポートは.NET Framework の 4.6 でのみ利用可能なために、この問題が発生します。以前のバージョンの.NET Framework では、ADO.NET は、クライアントが TLS 1.2 通信をサポートできるように Windows の更新プログラムを適用する必要。.NET framework の以前のバージョンでの TLS 1.2 のサポートを有効にする Windows の更新プログラムは、「この更新プログラムが必要かどうかを把握するには」セクションの表に表示されます。

問題 2

レポート サービスの構成マネージャーでは、クライアント プロバイダーは、TLS 1.2 をサポートするバージョンに更新された後にも次のエラー メッセージが報告されます。

サーバーに接続できませんでした: サーバーへの接続を正常に確立しましたが、ログイン前のハンドシェイク中にエラーが発生しました。

Error message

この問題を解決するには、レポート サービスの構成マネージャーをホストするシステムに手動で次のレジストリ キーを作成: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client:「有効」= dword:00000001

問題 3

可用性グループまたはデータベース ・ ミラーリング、または SQL Server の Service Broker の通信の暗号化を使用すると、TLS 1.2 を使用するエンドポイントの暗号化された通信が失敗します。SQL エラー ログに次のようなエラー メッセージが記録されます。

接続ハンドシェイクが失敗しました。Os のシステム コールに失敗しました: (80090331) の 0x80090331 (クライアントとサーバーの通信できません、共通のアルゴリズムを処理していないためです。)。56 の状態です。

この問題の詳細についてを参照してくださいを修正する: TLS 1.2 でエンドポイントの暗号化された通信では、SQL Server を使用すると障害が発生したです。

問題 4

TLS 1.2 が有効にされているサーバー上の SQL Server 2012 または SQL Server 2014 をインストールしようとすると、さまざまなエラーが発生します。

詳細についてを参照してくださいを修正する: TLS 1.2 が有効にされているサーバーで SQL Server 2012 または SQL Server 2014 をインストールするときにエラー

問題 5

データベース ・ ミラーリング、または可用性グループに暗号化された接続では、TLS 1.2 以外の他のすべてのプロトコルを無効にした後、証明書を使用する場合は動作しません。次のようなエラー メッセージが SQL Server エラー ログに記録されます。

データベース ・ ミラーリング、または可用性グループに暗号化された接続では、TLS 1.2 以外の他のすべてのプロトコルを無効にした後、証明書を使用する場合は動作しません。次の現象のいずれかが発生する可能性があります。

現象 1:

次のようなエラー メッセージが SQL Server エラー ログに記録されます。

接続ハンドシェイクが失敗しました。Os のシステム コールに失敗しました: (80090331) の 0x80090331 (クライアントとサーバーの通信できません、共通のアルゴリズムを処理していないためです。)。状態 58 '。

現象 2:

次のようなエラー メッセージが Windows イベント ログに記録されます。

ログ名: システムソース: Schannel日付: < 日付時刻 >イベント ID: 36888タスク カテゴリ: なしレベル: エラーキーワード: ユーザー: システムコンピューター:--説明:致命的な警告が生成され、リモートのエンドポイントに送信します。接続が終了可能性があります。TLS プロトコルが定義されている致命的なエラー コードは、40 です。Windows SChannel エラー状態は、1205 です。ログ名: システムソース: Schannel日付: < 日付時刻 >イベント ID: 36874タスク カテゴリ: なしレベル: エラーキーワード: ユーザー: システムコンピューター:--説明:リモート クライアント アプリケーションから TLS 1.2 の接続要求を受け取りましたが、クライアント アプリケーションでサポートされている暗号のでサポートされていません、サーバー。SSL 接続要求は失敗しました。

可用性グループおよびデータベース ミラーリングは、固定長の MD5 などのハッシュ アルゴリズムを使用しない証明書を必要とするため、この問題が発生します。TLS 1.2 では、固定長のハッシュ アルゴリズムはサポートされていません。

詳細についてを参照してくださいを修正する: MD5 のハッシュ アルゴリズムの場合は SQL Server を使用して、TLS 1.2 を使用して通信

問題 6

次の SQL Server データベース エンジンのバージョンは、サポート技術情報記事3146034で報告されている断続的なサービスの終了の問題の影響を受けます。サービス終了の問題から自分自身を保護するためにお客様は、次の表に、SQL Server のバージョンが表示されている場合に、この資料に記載されている Microsoft SQL Server の TLS 1.2 更新プログラムをインストールすることをお勧めします。

SQL Server のリリース 影響を受けるバージョン
(X 86 と x64 の場合)、SQL Server 2008 R2 SP3 10.50.6537.0
SQL Server 2008 R2 SP2 GDR (IA 64 のみ) 10.50.4046.0
SQL Server 2008 R2 SP2 (IA 64 のみ) 10.50.4343.0
(X 86 と x64 の場合)、SQL Server 2008 SP4 10.0.6543.0
SQL Server 2008 SP3 GDR (IA 64 のみ) 10.0.5544.0
SQL Server 2008 SP3 (IA 64 のみ) 10.0.5894.0

問題 7

データベース メールは、TLS 1.2 では動作しません。データベース メールは、次のエラーで失敗します。

Microsoft.SqlServer.Management.SqlIMail.Server.Common.BaseException。メールの構成情報をデータベースから読み取ることができませんでした。メール セッションを開始できません。

詳細については、 TLS 1.2 を使用する SQL Server に必要なその他の修正プログラムをこの資料の「」を参照してください。

クライアントまたはサーバーで TLS 1.2 を更新するときに発生する可能性がある一般的なエラーが表示されません。

問題 1

System Center 構成マネージャー (SCCM) は、SQL Server で TLS 1.2 プロトコルを有効にした後、SQL Server に接続できません。このような状況は、次のエラー メッセージが表示されます。

TCP プロバイダー: リモート ・ ホストで既存の接続が閉じられました強制的に

この問題は、SCCM を使用して、SQL Server のネイティブ クライアント ドライバー、修正プログラムがない場合に発生する可能性があります。この問題を解決するには、ダウンロードして、クライアント コンポーネントのダウンロード セクションこの資料に記載されているネイティブ クライアント修正プログラムをインストールします。例: https://www.microsoft.com/en-us/download/details.aspx?id=50402

次の例のように、SCCM のログを表示することによって SQL Server に接続する SCCM を使用しているドライバーを調べることができます。

[SQL Server Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)> *** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)> *** Failed to connect to the SQL Server, connection type: SMS ACCESS.  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)> INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>Native Client 11.0]TCP Provider: An existing connection was forcibly closed by the remote host.~~  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)> *** [08001][10054][Microsoft][SQL Server Native Client 11.0]Client unable to establish connection  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)> *** Failed to connect to the SQL Server, connection type: SMS ACCESS.  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)> INFO: SQL Connection failed. Connection: SMS ACCESS, Type: Secure  $$<Configuration Manager Setup><08-22-2016 04:15:01.917+420><thread=2868 (0xB34)>